Идентификация и аутентификация

Под аутентификацией информации в компьютерных системах понимают установление подлинности информации исключительно на основе самой внутренней информации. Любые преднамеренные и случайные нарушения подлинности информации должны обнаруживаться с заданной вероятностью.

В компьютерных системах выделяют несколько видов аутентификации.

Например, аутентификацией сообщений называют установление подлинности полученного по каналам связи сообщения, в том числе решение вопроса об авторстве этого сообщения и установление факта приема сообщения.

1) Разработчик программы должен по специальному алгоритму рассчитать контрольный код для своего продукта (этот код называется дайджестом сообщения, слепком, оттиском, электронной печатью). По размеру он невелик – примерно 2 десятка байтов.

2) Затем автор шифрует продукт с помощью своего закрытого ключа.

3) Далее он прилагает к продукту свой открытый ключ и сертификат своего закрытого ключа, выданный центром сертификации.

В итоге вместе с программой адресат получает целую связку объектов, разбираться с которыми будет та программа, которая выполняет прием.

Действует она в обратном порядке.

1) Сначала проверяет действительность сертификата.

2) Если все в порядке, к полученному сообщению применяется полученный вместе с ним открытый ключ и продукт дешифруется.

3) Затем вычисляется дайджест сообщения и сличается с тем, что был приложен автором. Если числа совпали, то программа чистая – именно такая, какой ее создал законный автор.

Конкретные данные об авторе сообщения можно узнать из сертификата. Так происходит идентификация партнера. С другой стороны, если рассчитанный дайджест расшифрованного сообщения совпал с тем дайджестом, который был рассчитан автором, значит, никто по дороге не внес изменения в программу – так происходит аутентификация содержания.

Средства ЭЦП

Созданием ключей (закрытого и открытого), шифрованием документа с помощью закрытого ключа, расчетом дайджеста, расшифровкой полученного сообщения, проверкой дайджеста занимается специальная программа, которая называется средствами ЭЦП. Разработка и распространение средств ЭЦП находится под контролем государства.

Например, если нужно договориться с банком, чтобы он разрешил клиенту управлять своим расчетным счетом через Интернет, значит, клиент должен получить от банка необходимое для этого клиентское средство ЭЦП. Оно создает клиенту открытый и закрытый ключи и будет выполнять все работы по шифрованию и расшифрованию сообщений, проходящих между клиентом и банком.